Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\skin.dotx
- %TEMP%\wales.dotx
- %TEMP%\prep.dotx
- %TEMP%\gel.dotx
- %TEMP%\urban.dotx
- %TEMP%\continent.dotx
- %TEMP%\instruments.dotx
- %TEMP%\charlotte.dotx
- %TEMP%\printing.dotx
- %TEMP%\gel.dotx.bat
- %TEMP%\milan
- %TEMP%\michigan
- %TEMP%\pathology
- %TEMP%\database
- %TEMP%\slowly
- %TEMP%\okay
- %TEMP%\mistake
- %TEMP%\continuing
- %TEMP%\range
- %TEMP%\unity
- %TEMP%\479664\bet.com
- %TEMP%\479664\j
Удаляет следующие файлы
- %TEMP%\479664\j
Самоудаляется.
Сетевая активность
UDP
- DNS ASK PA#####ISf.PAWJFvsISf
Другое
Создает и запускает на исполнение
- '%TEMP%\479664\bet.com' J
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Gel.dotx Gel.dotx.bat & Gel.dotx.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "bdservicehost SophosHealth AvastUI AVGUI nsWscSvc ekrn"
- '%WINDIR%\syswow64\extrac32.exe' /Y Instruments.dotx *.*
- '%WINDIR%\syswow64\findstr.exe' /V "Orbit" Continuing
- '%WINDIR%\syswow64\choice.exe' /d n /t 5
